<div dir="ltr"><div class="gmail_extra">On Wed, Feb 6, 2013 at 10:58 AM, Daniel Danger <span dir="ltr"><<a href="mailto:owncloud@danger-it.de" target="_blank">owncloud@danger-it.de</a>></span> wrote:<br><div class="gmail_quote">



<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Quick thought on that: Is the password send via $_POST on every request,<br>
or just once on login? If the latter is the case, then not every app has<br>
the chance to read the password. (or am I wrong here?)<br></blockquote></div><div><div><br></div><div>A malicious app can execute arbitrary PHP code (due to the lacking sandboxing abilities of PHP), or even change the ownCloud code in a way to intercept all the user passwords.</div>


<div><br></div><div>So this is not a problem from my side.</div><div style="margin-top:2px;outline-style:none;word-wrap:break-word;font-family:arial,sans-serif;font-size:13.333333969116211px"></div></div>
</div></div>